org.slf4j:log4j-over-slf4j:jar:1.7.21:compile 漏洞
org.slf4j:log4j-over-slf4j:jar:1.7.21:compile vulnerability
如果我们使用 log4j jar,我们需要迁移到 log4j 2.17,mvn 依赖项:树仅显示 log4j-over-slf4j:jar。所以我认为应用程序是安全的,因为它将调用重定向到 sl4j 而不是 log4j。
请确认我的应用程序使用此 jar 是安全的,无需任何补救。?
在 SLF4J 网站的 Comments on the log4shell(CVE-2021-44228) vulnerability 中,他们声明:
如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,您是安全的,除非底层实现是 log4j 2.x.
所以这基本上取决于您如何实现日志的生成。 Slf4j 原生使用 logback。但可以肯定的是,您可以检查您的 pom.xml 并查看那里是否提到了 log4j。
如果我们使用 log4j jar,我们需要迁移到 log4j 2.17,mvn 依赖项:树仅显示 log4j-over-slf4j:jar。所以我认为应用程序是安全的,因为它将调用重定向到 sl4j 而不是 log4j。 请确认我的应用程序使用此 jar 是安全的,无需任何补救。?
在 SLF4J 网站的 Comments on the log4shell(CVE-2021-44228) vulnerability 中,他们声明:
如果您将 log4j-over-slf4j.jar 与 SLF4J API 结合使用,您是安全的,除非底层实现是 log4j 2.x.
所以这基本上取决于您如何实现日志的生成。 Slf4j 原生使用 logback。但可以肯定的是,您可以检查您的 pom.xml 并查看那里是否提到了 log4j。